El investigador de seguridad John Page reveló la
existencia de una nueva falla de seguridad que permite a los piratas
informáticos robar los datos de los usuarios de Windows, a través de la
plataforma de navegación Internet Explorer.
De acuerdo a SDP, lo más curioso del asunto es que los
usuarios afectados ni siquiera deben tener abierto el navegador, cuyo servicio
quedo obsoleto ante el ingreso de Microsoft Edge, ya que solo debe estar
instalado en una computadora para que su vulnerabilidad pueda ser aprovechada
por hackers y accedan a la información personal de su víctima.
Page advierte que Internet Explorer es vulnerable a un
ataque de entidad externa XML si un usuario “abre un archivo .MHT especialmente
diseñado localmente”, lo que permitiría a los atacantes filtrar archivos
locales de forma remota y realizar un reconocimiento del equipo.
Esto significa que los atacantes aprovechan una vulnerabilidad
que utiliza archivos .MHT, el formato de archivo utilizado por Internet
Explorer para sus almacenar información en línea y que ya no es usado por los
navegadores actuales, por lo que el viejo navegador de Microsoft se abre de
forma predeterminada al abrir un documento de este tipo.
El ataque inicia cuando el usuario abre un documento .MHT
adjunto, el cual puede recibir por medio de un correo electrónico, servicios de
mensajería u otro servicio de transferencia de archivos, lo que iniciaría de forma
automática la plataforma de Internet Explorer.
Esta vulnerabilidad afectaría a los usuarios de Windows
7, Windows 10 y Windows Server 2012 R2, utilizando la última versión de
Internet Explorer, IE 11; Microsoft dijo a Page que considerarían una solución
para este problema con una futura actualización.
El experto en ciberseguridad de Microsoft, Chris Jackson, instó a las personas que todavía usan Internet Explorer a que finalmente lo abandonen, después de que la compañía discontinuara el antiguo navegador web en 2015.
